Informationen zu Dependabot auto-triage rules
Mit Dependabot auto-triage rules können Sie Dependabot zur automatischen Triage von Dependabot alerts veranlassen. Anhand von Regeln für die automatische Triage können Sie gewisse Warnungen automatisch schließen oder auf Standby setzen oder angeben, für welche Warnungen Dependabot Pull Requests öffnen soll.
Es gibt zwei Arten von Dependabot auto-triage rules:
- GitHub-Voreinstellungen
- Benutzerdefinierte Regeln für die automatische Triage
Informationen zu GitHub-Voreinstellungen
GitHub-Voreinstellungen für Dependabot alerts sind Regeln, die für alle Repositorys verfügbar sind.
GitHub-Voreinstellungen sind Regeln, die von GitHub zusammengestellt werden. Die Dismiss low impact issues for development-scoped dependencies ist eine voreingestellte Regel für GitHub. Diese Regel schließt automatisch bestimmte Arten von Sicherheitsrisiken, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden. Die Regel wurde erstellt, um falsch positive Ergebnisse zu reduzieren und das Abstumpfen des Benutzers gegenüber Warnungen zu verhindern. Du kannst GitHub-Voreinstellungen nicht ändern. Weitere Informationen zu GitHub-Voreinstellungen findest du unter Verwenden von voreingestellten GitHub-Regeln zum Priorisieren von Dependabot-Warnungen.
Die Regel ist standardmäßig für öffentliche Repositorys aktiviert und kann für private Repositorys aktiviert werden. Sie können die Regel für ein privates Repository über die Registerkarte Einstellungen für das Repository aktivieren. Weitere Informationen findest du unter Aktivieren der Dismiss low impact issues for development-scoped dependencies-Regel für Ihr privates Repository.
Informationen zu Benutzerdefinierte Regeln für die automatische Triage
Benutzerdefinierte Regeln für die automatische Triage für Dependabot alerts sind verfügbar auf Repositorys von Organisationen in GitHub Enterprise Server, für Organisationen, für die GitHub Advanced Security aktiviert ist.
Mit Benutzerdefinierte Regeln für die automatische Triage können Sie Ihre eigenen Regeln erstellen, um Warnungen auf der Grundlage von gezielten Metadaten eigenen Kriterien, wie Schweregrad, Paketname, CWE, usw. automatisch zu verwerfen oder wieder zu öffnen. Sie können auch individuell festlegen, für welche Warnungen Dependabot Pull Requests öffnen soll. Weitere Informationen findest du unter Anpassen von Auto-Triage-Regeln zum Priorisieren von Dependabot-Warnungen.
Sie können benutzerdefinierte Regeln auf der Registerkarte Einstellungen des Repository erstellen, vorausgesetzt, das Repository gehört zu einer Organisation, die über eine Lizenz für GitHub Advanced Security verfügt. Weitere Informationen finden Sie unter Hinzufügen von benutzerdefinierten Regeln für die automatische Selektierung zu Ihrem Repository.
Informationen zum automatischen Schließen von Warnungen
Auch wenn es sinnvoll ist, automatische Triage-Regeln zu verwenden, um Warnungsmeldungen automatisch zu verwerfen, können Sie automatisch verworfene Warnmeldungen erneut öffnen und filtern, um zu sehen, welche Warnmeldungen automatisch verworfen wurden. Weitere Informationen findest du unter Verwalten von Warnungen, die von einer Dependabot-Auto-Triage-Regel automatisch geschlossen wurden.
Darüber hinaus stehen automatisch verworfene Warnungsmeldungen weiterhin für Berichte und Überprüfungen zur Verfügung und können automatisch wieder geöffnet werden, wenn sich z. B. die Metadaten der Warnmeldung ändern:
- Wenn du den Bereich einer Abhängigkeit von der Entwicklung in die Produktion änderst.
- Wenn GitHub bestimmte Metadaten für die entsprechende Empfehlung ändert.
Automatisch verworfene Warnungen werden durch den Grund für die Schließung resolution:auto-dismiss definiert. Die Aktivität der automatischen Schließung ist in Warnungswebhooks, REST- und GraphQL-APIs sowie im Überwachungsprotokoll enthalten. Weitere Informationen finden Sie unter „REST-API-Endpunkte für Dependabot alerts“ und im Abschnitt „repository_vulnerability_alert“ in „Auditprotokoll deiner Organisation überprüfen“.